privacy-and-online-law
कैसे कानूनी रूप से साइबर सुरक्षा और डेटा ब्रीच मुद्दों को संबोधित करने के लिए
Table of Contents
साइबर सुरक्षा के कानूनी परिदृश्य को समझना
साइबर सुरक्षा कानून एक जटिल और तेजी से विकसित क्षेत्र है जो आधार रेखा को कैसे संगठनों को डिजिटल जानकारी की रक्षा करनी चाहिए, इसके लिए निर्धारित करता है। ये कानून आम तौर पर न्यूनतम सुरक्षा नियंत्रण को अनिवार्य करते हैं, उल्लंघन अधिसूचना दायित्वों को परिभाषित करते हैं और गैर-अनुपालन के लिए दंड निर्धारित करते हैं। जबकि विशिष्ट आवश्यकताएं अधिकार क्षेत्र और उद्योग के अनुसार भिन्न होती हैं, सिद्धांतों का एक मुख्य सेट अधिकांश ढांचे में दिखाई देता है: डेटा न्यूनतमकरण, एक्सेस कंट्रोल, एन्क्रिप्शन, घटना प्रतिक्रिया योजना और लेखा परीक्षा ट्रेल्स। ऐसे संगठन जो इन कानूनी मानकों के साथ गठबंधन करने में विफल होते हैं, न केवल मौद्रिक जुर्माना बल्कि ग्राहक ट्रस्ट के मुकदमे में वृद्धि हुई मुकदमेबाजी जोखिम और नुकसान।
आप जानते हैं कि प्रमुख विनियम
- GDPR (सामान्य डेटा संरक्षण विनियमन): यूरोपीय आर्थिक क्षेत्र में लागू, GDPR किसी भी संगठन पर लागू होता है जो यूरोपीय संघ के निवासियों के व्यक्तिगत डेटा को संसाधित करता है। इसके लिए डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट, 72 घंटों के भीतर अनिवार्य उल्लंघन अधिसूचना की आवश्यकता होती है, और वैश्विक वार्षिक कारोबार का 4% तक जुर्माना लगाया जा सकता है या € 20 मिलियन, जो भी अधिक हो। GDPR.eu] एक व्यापक अवलोकन प्रदान करता है।
- CCPA (कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम) और CPRA: ये कैलिफोर्निया कानून उपभोक्ताओं को उनकी व्यक्तिगत जानकारी की बिक्री से पता, हटाने और बाहर निकलने के अधिकार प्रदान करते हैं। वे सख्त डेटा सुरक्षा आवश्यकताओं को भी लागू करते हैं और उल्लंघनों के लिए कार्रवाई के निजी अधिकार की अनुमति देते हैं। California Attorney General's office आधिकारिक मार्गदर्शन प्रदान करता है। ध्यान दें कि CPRA संशोधन किया गया है और 2023 में CCPA का विस्तार किया गया है, एक समर्पित प्रवर्तन एजेंसी बना रहा है।
- HIPAA (स्वास्थ्य बीमा पोर्टेबिलिटी एंड एकाउंटेबिलिटी एक्ट): अमेरिकी स्वास्थ्य देखभाल प्रदाता, बीमाकर्ता, और उनके व्यावसायिक सहयोगियों को HIPAA की गोपनीयता और सुरक्षा नियमों के तहत स्वास्थ्य सूचना (PHI) की रक्षा करनी चाहिए। अधिकांश घटनाओं के लिए 60 दिनों के भीतर ब्रीच नोटिफिकेशन की आवश्यकता होती है। HIPAA प्रशासनिक, भौतिक और तकनीकी सुरक्षा भी प्रदान करता है।
- PCI DSS (Payment Card Industry Data Security Standard): जबकि कानून नहीं है, पीसीआई डीएसएस किसी भी इकाई के लिए एक अनुबंध की आवश्यकता है जो क्रेडिट कार्ड डेटा को संभालती है। गैर अनुपालन जुर्माना, उच्च लेनदेन शुल्क या भुगतान प्रक्रिया की क्षमता के नुकसान में परिणाम हो सकता है। संस्करण 4.0 बहु-फैक्टर प्रमाणीकरण और निरंतर सुरक्षा निगरानी के लिए नई आवश्यकताओं को लागू करता है।
- NY SHIELD Act: न्यूयॉर्क के कानून ने बॉयोमेट्रिक डेटा, पासवर्ड के साथ ईमेल पते और अधिक शामिल करने के लिए निजी जानकारी की परिभाषा का विस्तार किया। यह व्यापक उल्लंघन अधिसूचना आवश्यकताओं और न्यूयॉर्क निवासियों के डेटा के साथ किसी भी व्यवसाय के लिए उचित सुरक्षा सुरक्षा प्रदान करता है, भले ही वह व्यवसाय कहां स्थित हो।
- ]LGPD (ब्राजील के सामान्य डेटा संरक्षण कानून): GDPR के बाद मॉडलिंग, ब्राज़ील के LGPD ब्राजील में व्यक्तियों के किसी भी संगठन प्रसंस्करण डेटा पर लागू होता है। यह 2% राजस्व (50 मिलियन रीआस पर कैप्ड) तक जुर्माना लगाता है और डेटा संरक्षण अधिकारी की आवश्यकता होती है। ANPD प्रवर्तन प्राधिकरण है।
- PIPL (चीन की व्यक्तिगत सूचना संरक्षण कानून): चीन के PIPL ने डेटा प्रोसेसिंग, क्रॉस-बॉर्डर ट्रांसफर और सहमति पर सख्त आवश्यकताओं को लागू किया। यह चीन के बाहर संगठनों पर लागू होता है यदि वे उत्पादों या विश्लेषण व्यवहार की पेशकश के लिए चीन के अंदर व्यक्तियों की व्यक्तिगत जानकारी की प्रक्रिया करते हैं। जुर्माना वार्षिक राजस्व का 5% तक पहुंच सकता है।
- अन्य उल्लेखनीय फ्रेमवर्क: NIST Cybersecurity Framework (U.S. में हालांकि स्वैच्छिक) को उचित सुरक्षा के लिए एक बेंचमार्क के रूप में कानूनी कार्यवाही में व्यापक रूप से संदर्भित किया जाता है। Sarbanes-Oxley Act (SOX) सार्वजनिक कंपनियों के लिए वित्तीय डेटा नियंत्रण को प्रभावित करता है। यूरोपीय संघ के NIS2 निर्देशात्मक, प्रभावी अक्टूबर 2024, महत्वपूर्ण क्षेत्रों के लिए साइबर सुरक्षा दायित्वों का विस्तार करता है।
कैसे कानून "Reasonable Security" को परिभाषित करते हैं
कई डेटा संरक्षण कानून "अनुभव" या "अनुचित" तकनीकी और संगठनात्मक उपायों को लागू करने के लिए एक कर्तव्य को लागू करते हैं। क्या "अनुभव" का मतलब अक्सर डेटा की संवेदनशीलता, संगठन का आकार, उपलब्ध प्रौद्योगिकी की स्थिति और उद्योग प्रथाओं जैसे कारकों पर निर्भर करता है। न्यायालयों और नियामकों को तेजी से मान्यता प्राप्त ढांचे जैसे NIST], ]]][LT] मानक नीतियों को लागू करने के लिए नियमित रूप से अनुरोध किया गया है। [[FLT:]]
कानूनी उत्तरदायित्व डेटा ब्रीच के बाद
जब एक उल्लंघन होता है, तो कानूनी घड़ी टिकना शुरू हो जाती है। संगठनों को राज्य, संघीय और अंतरराष्ट्रीय अधिसूचना कानूनों के एक पैचवर्क पर नेविगेट करना चाहिए, जांच का समर्थन करने के लिए सबूत बनाए रखना चाहिए, और दायित्व स्वीकार करने से बचने के लिए संचार को सावधानीपूर्वक प्रबंधित करना चाहिए। तत्काल कानूनी चरणों में शामिल हैं, जिसमें शामिल हैं परामर्श, जिसमें घटना शामिल है, और प्रत्येक कार्रवाई को दस्तावेज देना। जल्दी से कार्य करने में विफलता देयता को मिश्रित कर सकती है - अधिसूचना या सबूत संरक्षण में देरी से नागरिक सूट में नियामक जुर्माना या स्पोलेशन स्वीकृति हो सकती है।
अधिसूचना समयरेखा और आवश्यकताएँ
- GDPR: उल्लंघन के बारे में जागरूक होने के 72 घंटों के भीतर पर्यवेक्षकीय प्राधिकरण को सूचित करें। जब उल्लंघन उनके अधिकारों और स्वतंत्रता के लिए एक उच्च जोखिम का अनुमान लगाते हैं तो प्रभावित व्यक्तियों को बिना देरी के सूचित किया जाना चाहिए। अधिसूचना में उल्लंघन की प्रकृति, प्रभावित डेटा की श्रेणियां और नुकसान को कम करने के लिए किए गए उपायों को शामिल करना चाहिए।
- U.S. राज्य कानून: लगभग हर राज्य में एक उल्लंघन अधिसूचना कानून है। समयरेखा "सबसे अधिक समय से अधिक संभव और बिना अनुचित देरी" (जैसे, कैलिफोर्निया) से 30 दिनों (जैसे, न्यू जर्सी) या 45 दिनों (जैसे, न्यूयॉर्क) जैसी विशिष्ट खिड़कियों तक होती है। कुछ राज्यों, जैसे टेक्सास, को 60 दिनों के भीतर अधिसूचना की आवश्यकता होती है। राज्य विधानमंडल का राष्ट्रीय सम्मेलन वर्तमान विश्लेषण बनाए रखता है। उपभोक्ता ट्रिगर में विविधताओं के बारे में जागरूक रहें, जैसे कि डेटा को एन्क्रिप्ट करना या नहीं है।
- HIPAA:] कवर संस्थाओं को 60 दिनों के भीतर प्रभावित व्यक्तियों को सूचित करना चाहिए, एचएचएस के सचिव और 500+ व्यक्तियों को प्रभावित करने वाले उल्लंघनों के लिए, मीडिया। इसके अतिरिक्त, व्यापार सहयोगी को बिना किसी परेशानी के कवर किए गए संस्थाओं को उल्लंघन करने की रिपोर्ट करनी चाहिए।
- Payment Card Breaches: भुगतान नेटवर्क को 24 घंटे के भीतर तत्काल अधिसूचना की आवश्यकता होती है - धोखाधड़ी शुल्क के लिए दायित्व से बचने के लिए। कार्ड ब्रांड नियम (Visa, Mastercard, आदि) की अपनी समय-सीमा और गैर-अनुपालन के लिए दंड है।
- अन्य अधिकार क्षेत्र: ब्राज़ील के LGPD को उचित समय (आमतौर पर 72 घंटे) के भीतर अधिसूचना की आवश्यकता होती है। चीन के PIPL ने नियामकों और व्यक्तियों को तत्काल अधिसूचना जारी की है यदि उल्लंघन नुकसान हो सकता है। यदि सिंगापुर के PDPA को 30 दिनों के भीतर सूचना की आवश्यकता होती है तो उल्लंघन में महत्वपूर्ण नुकसान होता है या 500+ व्यक्तियों को शामिल किया जाता है।
क्या एक Breach अधिसूचना में शामिल करने के लिए
आम तौर पर एक कानूनी रूप से अनुपालन अधिसूचना में शामिल हैं:
- तारीख या तारीख श्रेणी के उल्लंघन (यदि ज्ञात हो)।
- व्यक्तिगत जानकारी के प्रकार समझौता (जैसे नाम, सामाजिक सुरक्षा संख्या, चिकित्सा रिकॉर्ड, भुगतान कार्ड डेटा)।
- इस घटना की जांच और उसे कम करने के लिए संगठन क्या कर रहा है, इसका वर्णन।
- कदम व्यक्तियों को खुद को बचाने के लिए ले जा सकते हैं (जैसे क्रेडिट निगरानी, धोखाधड़ी चेतावनी, पासवर्ड परिवर्तन).
- आगे की पूछताछ के लिए संपर्क जानकारी, जैसे कि एक समर्पित हॉटलाइन या ईमेल।
यह महत्वपूर्ण है कि अधिसूचना में कारण या विशेषता दोष के बारे में निर्दिष्ट नहीं है। प्रारंभिक भाषा का उपयोग बाद में मुकदमेबाजी में आपके खिलाफ किया जा सकता है। कानूनी परामर्श को भेजे जाने से पहले सभी संचारों की समीक्षा करनी चाहिए। इसके अतिरिक्त, कुछ अधिकार क्षेत्र को यह आवश्यकता होती है कि प्रभावित आबादी के आधार पर एकाधिक भाषाओं में या विशिष्ट चैनलों (जैसे, लिखित नोटिस, ईमेल, वेबसाइट पोस्टिंग) में अधिसूचनाएं प्रदान की जाएं।
कानूनी संरक्षण के लिए घटना का दस्तावेजीकरण
प्रत्येक लॉग, ईमेल, फोरेंसिक रिपोर्ट और उल्लंघन से संबंधित आंतरिक ज्ञापन को संरक्षित रखें। जितनी जल्दी संभव हो उतना फोरेंसिक विशेषज्ञों के बाहर जुड़ाव -उनके काम को वकील द्वारा निर्देशित वकील-क्लिएंट विशेषाधिकार द्वारा संरक्षित किया जा सकता है। जब उल्लंघन का पता लगाया गया था, निहित और रिपोर्ट किया गया तो विस्तृत समयरेखा को बनाए रखें। यह दस्तावेज नियामकों के लिए अच्छा विश्वास अनुपालन का प्रदर्शन करने और निजी मुकदमों के खिलाफ बचाव के लिए आवश्यक है। एक कानूनी पकड़ को तुरंत लागू करें जब मुकदमेबाजी उचित रूप से प्रत्याशित हो जाती है; ऐसा करने में असफलता को स्पोलेशन स्वीकृति का नेतृत्व कर सकता है। आईटी के साथ काम स्वचालित डिलेशन नीतियों को निलंबित करने और नेटवर्क के आसपास के प्रवेशों, अंत बिंदुओं और टेलीमेट्री सहित सभी प्रासंगिक डिजिटल बैकअप को रोक देता है।
फोरेंसिक जांच और प्रिविलेज
कानूनी परामर्श के माध्यम से बाहरी फोरेंसिक फर्मों को संलग्न करना एक सबसे अच्छा अभ्यास है जो वकील-क्लियर विशेषाधिकार और कार्य उत्पाद सिद्धांत के तहत जांचात्मक निष्कर्षों को ढाल सकता है। नियामक अक्सर फोरेंसिक रिपोर्टों का अनुरोध करते हैं, लेकिन उन्हें विशेषाधिकार देकर, संगठन कथाओं को नियंत्रित कर सकता है और नागरिक मुकदमेबाजी में रक्षा को छोड़ने से बच सकता है। बहु-न्यायिक उल्लंघनों में, प्रत्येक प्रभावित क्षेत्राधिकार में परामर्श के साथ समन्वय करने के लिए यह निर्धारित करने के लिए कि कौन से सबूत साझा करने की आवश्यकता हो सकती है और किस अधिकारियों के साथ। कुछ कानून, जीडीपीआर जैसे नियामकों को फोरेंसिक रिपोर्ट तक पहुंच की मांग करने की अनुमति देते हैं, भले ही वे विशेषाधिकार प्राप्त कर रहे हों; ऐसे मामलों में, एक सावधानीपूर्वक संतुलन अधिनियम की आवश्यकता होती है।
एक Breach से पहले कानूनी सर्वश्रेष्ठ प्रथाओं को लागू करना
साइबर सुरक्षा कानूनी मुद्दों को संबोधित करने का सबसे अधिक लागत प्रभावी तरीका एक घटना होने से पहले एक मजबूत अनुपालन मुद्रा का निर्माण करना है। एक सक्रिय रणनीति एक उल्लंघन की संभावना को कम करती है और संगठन को कानूनी रूप से जवाब देने के लिए स्थिति देती है यदि कोई होता है। निम्नलिखित उपाय कानूनी सुरक्षा और परिचालन लचीलापन के लिए समान रूप से महत्वपूर्ण हैं।
नियमित आकलन
जीडीपीआर और कई राज्य उल्लंघन अधिसूचना विधियों जैसे कानून को आवधिक जोखिम आकलन की आवश्यकता होती है। इनकी पहचान करनी चाहिए कि व्यक्तिगत डेटा कहाँ रहते हैं, किसका उपयोग होता है, और क्या सुरक्षा नियंत्रण होता है। उपचार को प्राथमिकता देने और बजट अनुरोधों को सही ठहराने के लिए परिणामों का उपयोग करें। किसी भी पूर्व नियामक कार्यवाही में देय देखभाल को प्रदर्शित करने के लिए आकलन का दस्तावेज दें। जोखिम मूल्यांकन कम से कम वार्षिक या जब भी महत्वपूर्ण परिवर्तन होते हैं, जैसे कि विलय, नए उत्पाद लॉन्च, या नए क्लाउड सेवाओं को अपनाने। सिस्टम और सीमाओं के दौरान डेटा प्रवाह को ट्रैक करने के लिए डेटा मैपिंग व्यायाम शामिल करें।
एक लिखित घटना प्रतिक्रिया योजना (IRP) का विकास
एक IRP विशिष्ट भूमिकाओं को असाइन करना चाहिए (जैसे कानूनी सलाहकार, फोरेंसिक, संचार, HR), निर्णय लेने वाले प्राधिकरण को परिभाषित करते हैं, और रोकथाम, उन्मूलन और वसूली के लिए चरण-दर-चरण प्रक्रियाएं प्रदान करते हैं। कानूनी सलाहकारों, साइबर बीमा वाहक और कानून प्रवर्तन (जैसे, FBI के साइबर डिवीजन या CISA]] के लिए संपर्क जानकारी के साथ एक संचार पेड़ शामिल करें। योजना को कम से कम वार्षिक टेबलटॉप अभ्यास के माध्यम से परीक्षण किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि वह एक अच्छा प्रदर्शन कर सके।
साइबर बीमा: एक कानूनी और वित्तीय सुरक्षा नेट
साइबर बीमा पॉलिसी कानूनी लागत, फोरेंसिक जांच, उल्लंघन अधिसूचना खर्च, नियामक जुर्माना (कुछ अधिकार क्षेत्र में) और यहां तक कि एक्सटोरेशन भुगतान को कवर कर सकती है। हालांकि, नीतियां विशिष्ट बेसलाइन नियंत्रण की आवश्यकता के बारे में तेजी से कड़े हैं - जैसे कि मल्टी-फैक्टर प्रमाणीकरण और समापन बिंदु का पता लगाना - कवरेज में होने से पहले। एक ब्रोकर के साथ काम जो साइबर जोखिम में माहिर हैं ताकि पॉलिसी आपके कानूनी दायित्वों और वास्तविक खतरे की प्रोफाइल के साथ संरेखित हो सके। सावधानीपूर्वक नीति के अपवादों की समीक्षा करें, जैसे युद्ध, राष्ट्र-राज्य के हमलों, या अज्ञात कमजोरियों को पैच करने में असफलता। कई वाहकों को अब एक सुरक्षा प्रश्नावली या नीति के अनुपालन के सबूत प्रस्तुत करने की आवश्यकता होती है।
अंतर्राष्ट्रीय विचार और क्रॉस-बॉर्डर डेटा ट्रांसफर
वैश्विक स्तर पर कार्यरत संगठनों को संघर्ष कानूनी व्यवस्था के साथ संघर्ष करना चाहिए। जीडीपीआर उन देशों को व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित करता है जो सुरक्षा के "समझ" स्तर प्रदान नहीं करते हैं। गोपनीयता शील्ड की अवैधता और मानक अनुबंधित क्लॉज (एससीसी) के आसपास चल रही कानूनी अनिश्चितता का मतलब अंतरराष्ट्रीय डेटा प्रवाह को सावधानीपूर्वक कानूनी संरचना की आवश्यकता होती है। इस बीच, ब्राजील (एलजीपीडी), जापान (एपीपीआई) और चीन (पीआईपीएल) जैसे देशों ने अपने स्वयं के सख्त नियमों को लागू किया है। परामर्शदाता को सभी डेटा प्रवाहों का नक्शा करना चाहिए और लागू हस्तांतरण तंत्रों का आकलन करना चाहिए - जैसे कि बाध्यकारी कॉर्पोरेट नियम (बीसीआर), एससीसी, या सहमति के लिए एक महत्वपूर्ण डेटा सीमा निर्धारित करना।
ब्रेचेस को संभालने के लिए जो एकाधिक अधिकार क्षेत्र को प्रभावित करता है
जब एक उल्लंघन में कई देशों में व्यक्ति शामिल होते हैं, तो अधिसूचना दायित्व संघर्ष हो सकता है। कुछ कानून एक एकल "लीड" पर्यवेक्षकीय प्राधिकरण (जैसे, जीडीपीआर के एक-स्टॉप-शॉप तंत्र के तहत) निर्धारित करते हैं, जबकि अन्य को प्रत्येक क्षेत्राधिकार में अलग-अलग फाइलिंग की आवश्यकता होती है। सामान्य नियम पहले सबसे अधिक कड़े आवश्यकता को सूचित करना है, लेकिन यह अन्य स्थानों में विशेषाधिकार या जटिल रक्षा को माफी दे सकता है। अंतर्राष्ट्रीय कानूनी समन्वय आवश्यक है; संपर्क का एक बिंदु नियुक्त करें जो बहु-न्याय परामर्श का प्रबंधन कर सकते हैं। प्रत्येक प्रभावित देश के लिए अधिसूचना की समय सीमा, सामग्री की आवश्यकताओं और नियामकों का मैट्रिक्स तैयार करें।
सक्रिय कानूनी उपाय: अनुबंध और विक्रेता प्रबंधन
तीसरे पक्ष के विक्रेता डेटा उल्लंघन का एक प्रमुख कारण हैं। जीडीपीआर जैसे कानूनों के तहत, डेटा नियंत्रक अपने प्रोसेसर के कारण उल्लंघन के लिए कानूनी रूप से उत्तरदायी रहता है। संगठनों को डेटा प्रोसेसिंग समझौतों (डीपीए) का उपयोग करना चाहिए जो उसी सुरक्षा दायित्व को बहने चाहिए जिसे उन्हें स्वयं मिलना चाहिए। विक्रेता जोखिम प्रबंधन को खरीद प्रक्रिया में एकीकृत किया जाना चाहिए, जिसमें उच्च जोखिम वाले विक्रेताओं के लिए सुरक्षा समीक्षा द्वार शामिल हैं।
मुख्य अनुबंधिक क्लॉज को शामिल करने के लिए
- सुरक्षा और डेटा संरक्षण आवश्यकताएं: न्यूनतम सुरक्षा नियंत्रण निर्दिष्ट करें (उदाहरण के लिए, बाकी में एन्क्रिप्शन और पारगमन में, बहु कारक प्रमाणीकरण, नियमित प्रवेश परीक्षण)। संदर्भ मान्यता प्राप्त मानकों जैसे आईएसओ 27001 या SOC 2 टाइप II न्यूनतम बेंचमार्क के रूप में।
- Breach Notification Obligation: किसी भी संदिग्ध उल्लंघन के तुरंत (24 घंटे के भीतर) आपको सूचित करने के लिए विक्रेता की आवश्यकता है। अधिसूचना में प्रारंभिक विवरण और एक पूर्ण रिपोर्ट के लिए एक समयरेखा शामिल होना चाहिए।
- : देयता और क्षतिपूर्ति की मुक्ति: सुनिश्चित करें कि विक्रेता अपनी लापरवाही के कारण उल्लंघन के लिए दायित्व स्वीकार करता है और परिणामस्वरूप लागत के लिए क्षतिपूर्ति करता है, जिसमें कानूनी शुल्क, अधिसूचना व्यय और जुर्माना नियामक शामिल है।
- Audit and अनुपालन जाँच: रिजर्व उचित नोटिस पर विक्रेता की सुरक्षा प्रथाओं का परीक्षण करने का अधिकार या एक SOC 2 प्रकार II रिपोर्ट की आवश्यकता के लिए। उच्च जोखिम वाले विक्रेताओं के लिए, न्यूनतम नोटिस अवधि के साथ सही-से-ऑडिट क्लॉज पर विचार करें।
- डेटा डिलेशन अप ऑन कॉन्ट्रैक्ट टर्मिनेशन: सुनिश्चित करें कि विक्रेता सुरक्षित रूप से सगाई के अंत के बाद अपने सभी डेटा को नष्ट कर देता है या वापस लौटाता है, और हटाने का प्रमाणीकरण प्रदान करता है।
- Sub-Processor Restrictions: विक्रेता को उप-प्रोसेसरों को जोड़ने से पहले लिखित सहमति प्राप्त करने की आवश्यकता है और उन्हें उसी डेटा सुरक्षा दायित्वों को बहने के लिए।
कर्मचारी प्रशिक्षण और गोपनीयता
कर्मचारी अक्सर कमजोर लिंक होते हैं। कानूनी दृष्टिकोण से, संगठनों को फ़िशिंग, पासवर्ड स्वच्छता और डेटा हैंडलिंग प्रक्रियाओं पर नियमित, भूमिका-विशिष्ट प्रशिक्षण प्रदान करना चाहिए। रोजगार अनुबंधों में गोपनीयता खंड शामिल होना चाहिए जो समाप्ति से बच जाते हैं, साथ ही साथ व्यक्तिगत उपकरणों पर विश्वसनीय डेटा साझा करने या संवेदनशील डेटा को संग्रहीत करने के खिलाफ स्पष्ट निषेध शामिल होना चाहिए। जब एक अंदरूनी उल्लंघन होता है, तो ये अनुबंधीय शर्तें मानव त्रुटि के कारण होने वाले उल्लंघन की स्थिति में अवक्षेपण क्रियाओं का समर्थन करती हैं और विभिन्न दायित्वों को सीमित करती हैं। नकली फ़िशिंग अभियानों के साथ वार्षिक सुरक्षा जागरूकता प्रशिक्षण और परीक्षण कर्मचारियों का संचालन करती हैं। दस्तावेज़ प्रशिक्षण पूरा करने और ट्रैक परिणाम मानव त्रुटि के कारण होने वाले उल्लंघन की स्थिति में उचित परिश्रम को प्रदर्शित करने के लिए परिणाम देती हैं।
जब साइबर सुरक्षा मुकदमा या जांच का सामना करना पड़ता है
उत्कृष्ट तैयारी के साथ भी, उल्लंघनों से मुकदमों का नेतृत्व किया जा सकता है-अक्सर वर्ग कार्रवाई-और नियामक जांच। वकील को बनाए रखने के बाद पहला कदम आंतरिक संचार की रक्षा के लिए विशेषाधिकार (अटॉर्नी-क्लियरेंट और वर्क प्रोडक्ट) पर जोर देना है। नियामकों के साथ सहयोग करें जबकि रक्षा को माफी नहीं देना। कई न्यायालयों में, मान्यता प्राप्त सुरक्षा ढांचे के साथ "अच्छा विश्वास" अनुपालन की एक प्रदर्शनी दंडात्मकता को कम कर सकती है। प्रारंभिक निपटान या सहमति आदेश महंगा मुकदमेबाजी से बचने के लिए आम हैं, लेकिन केवल तथ्यों और कानूनी जोखिम की गहन समझ के बाद। यदि एकाधिक मुकदमा दायर किए जाते हैं, तो एक एकल न्यायाधीश या मध्यस्थ से पहले जांच करने और लागत को कम करने के लिए पैसे कम करने के लिए पैसे कम करने के लिए।
दस्तावेज़ प्रतिधारण और स्पोलेशन
एक बार मुकदमेबाजी को यथोचित अनुमान लगाया जाता है, एक कानूनी पकड़ सभी प्रासंगिक डेटा को संरक्षित करने के लिए जारी की जानी चाहिए। ऐसा करने में विफलता के परिणामस्वरूप, प्रतिकूल जूरी निर्देश या बचाव के खारिज शामिल हैं। आईटी और कानूनी टीमों के साथ काम स्वचालित हटाने नीतियों को निलंबित करने और प्रासंगिक समय सीमा से सभी लॉग, ईमेल, बैकअप और फोरेंसिक छवियों को संरक्षित करने के लिए। एक औपचारिक मुकदमेबाजी का उपयोग नोटिस प्रक्रिया और ट्रैक acknowledgment को ट्रैक करें। जब क्लाउड सेवाओं से निपटने के लिए, यह सुनिश्चित करें कि सेवा प्रदाता डेटा को संरक्षित करने के लिए भी निर्देश दिया गया है। डेटा संग्रह और प्रसंस्करण के लिए एक तीसरे पक्ष के ई-डिस्करी विक्रेता को शामिल करने पर विचार करें।
निष्कर्ष
साइबर सुरक्षा और डेटा उल्लंघन के मुद्दों को कानूनी रूप से एक सक्रिय, बहु-परत दृष्टिकोण की आवश्यकता होती है जो अनुपालन, घटना की तैयारी, अनुबंध और क्रॉस-बॉर्डर समन्वय को फैलता है। कानून को कसने के लिए जारी रखते हैं, एसईसी के साइबर सुरक्षा प्रकटीकरण नियमों और यूरोपीय संघ के एनआईएस 2 डायरेक्टिव को अनुपालन में जोड़ने के लिए। संगठन जो साइबर सुरक्षा को कानूनी प्रशासन के मामले के रूप में मानते हैं - एक शुद्ध तकनीकी के बजाय - आपके द्वारा सुरक्षित जोखिम को कम करने के लिए बेहतर होगा।